基于Linux操作系统的SNAT策略
摘 要:随着Internet网络在全世界范围内的迅速发展,IPv4协议支持的可用IP地址资源逐渐变得山穷水尽,资源的匮乏使得许多企业难以申请更多的公网IP地址,或者只能承受一个或者少数几个公网IP地址的费用。而与此同时,大部分企业面临着将局域网内的主机接入Internet的需求。针对这一问题,讨论一下在Linux操作系统下怎样使用Iptables的SNAT策略来化解这一难题。
关键词:Linux操作系统;Iptables;SNAT策略;MASQUERADE
1 SNAT策略概述
随着Internet网络在全世界范围内的迅速发展,IPv4协议支持的可用IP地址资源在逐渐减少,能申请到的公网IP也越来越少,大部分企业面临着将局域网内的主机接入到Internet中,为了化解这一难题,我们可以用Iptables的SNAT(Source Network Address Translation,源地址)策略来解决。
2 SNAT策略的应用
SNAT策略主要应用在局域网共享上网接入的方面,而处理数据包的切入时机,主要在路由选择之后(POSTROUTING)进行。SNAT中能用于NAT表的POSTROUTING链。SNAT策略的关键在于将局域网外发数据包的源IP地址(私有地址)修改为网关的外网IP地址(公有地址)。因为网关服务器的IP地址通常具有两种情况,一种是固定的静态的IP地址,另一种是非固定的动态IP地址。下面分别从这两方面来介绍SNAT的使用策略。
2.1 网关服务器具有固定的静态IP地址的SNAT策略
在对网关服务器为固定的静态IP地址的SNAT策略进行设置时,iptables命令需要结合“- -to-source IP地址”选项使用,该选项用于指定修改后的IP地址,如:-j SNAT - -to-source 202.97.224.68)。
案例环境如下:
网关服务器使用linux操作系统。
网关上两块网卡:eth0:202.97.224.68(接外网)
eth1:192.168.0.2(接局域网)。
局域网内各主机网关:192.168.0.1,并且已正确设置了DNS服务器。
案例要实现的结果:在Linux网关中进行正确配置,通过SNAT策略使192.168.0.0/24网段的局域网用户能通过共享的方式访问Internet。
依据上述要求,使用Iptables的SNAT策略的步骤如下:
(1)开启网关服务的路由转发功能。
[root@www ~]# vi /etc/sysctl.conf //将ip_forward的值改为1
net.ipv4.ip_forward = 1
[root@www ~]# sysctl –p //从默认的配置文件中读取配置
(2)用iptables命令将源地址改为服务器的公网IP地址,使局域网访问Internet的数据包采用SNAT策略。
[root@www ~]# iptables -t nat -A POSTROUTING –s 192.168.0.0/24 -o eth0 -j SNAT
--to-source 202.97.224.68
上述步骤完成网关服务器具有固定的静态IP地址的SNAT策略的设置,可以使用局域网内的客户机访问Internet中的网站进行测试(如新浪)。
2.2 网关服务器具有非固定的动态态IP地址的SNAT策略
在使用SNAT策略时,有时会遇到网关服务器使用的是非固定的动态IP地址,如使用ADSL宽带接入时可能获取的是动态IP地址。那么在这种网络环境下,使用固定IP地址的方法肯定是不可取的,该如何设置SNAT策略呢?针对这种情况,iptables提供了一个名为MASQUERADE(伪装)的数据包处理方式,MASQUERADE同样可以完成修改数据包源IP地址的工作,只不过它会自动获取外网接口的IP地址,不需要使用“--to-source”选项。而是使用“-j MASQUERADE”选项来指定数据处理方式即可。
例:设置MASQUERADE策略,使192.168.0.0/24网段能够通过网关ppp0(Linux系统中,对应的连接名称)连接共享上网。
[root@www ~]# iptables -t nat -A POSTROUTING –s 192.168.0.0/24 -o ppp0 –j MASQUERADE
当然,在网关使用固定静态IP地址时,也可以使用MASQUERADE,而不用SNAT。只是,MASQUERADE会比SNAT多些额外的开销,因此如果有固定的IP地址,建议使用SNAT策略,避免出现过多的开销。
[参考文献]
[1]北京阿博泰北大青鸟信息技术有限公司编著.科学技术文献出版社 2009(65).
[2]杨云,张辉.在Linux下配置防火墙[J].电脑知识与技术,2009(27).